Maya, Mia Fem et d'autres applications de suivi de menstruation partageaient avec Facebook des informations personnelles sur leurs utilisatrices et utilisateurs.

La date de vos dernières règles, le journal de vos maux de ventre et migraines, des détails sur votre libido et vie sexuelle… Les applications de suivi de menstruations détiennent des données très personnelles sur leurs utilisateurs et utilisatrices. Toutes ne sont pourtant pas irréprochables lorsqu’il s’agit de les protéger. Un rapport publié par Privacy International ce lundi 9 septembre indique que plusieurs applis ont partagé des données avec Facebook.

Ces applications permettent à toute personne qui a ses règles de suivre ses cycles et leurs effets. Cela peut servir à déterminer ses phases de fertilité si l’on veut tomber enceinte, à documenter l’évolution d’une maladie ou d’un dérèglement hormonal, l’évolution de son désir sexuel ou tout simplement à mieux connaître son corps. Pour assurer un tel suivi, il faut renseigner des informations personnelles intimes, de manière régulière, voire quotidienne.

L’application Clue // Source : Clue

Des applications plus ou moins précautionneuses

Privacy International s’est d’abord intéressé aux applications les plus populaires dans le monde : Clue, Flo et les period tracker de deux marques, Leap Fitness Group et Simple Design. Aucune de ces applications ne partageait des données avec Facebook, se réjouit l’ONG — Clue l’avait fait par le passé mais avait rectifié le tir.

Elle a ensuite analysé les dessous d’autres applis « moins populaires mais qui ont malgré tout des millions d’utilisateurs » : Maya, MIA Fem, Period tracker de Linchpin Health et GP International, l’Ovulation calculator de Pinkbird et Mi Calendario de Grupo Familia.

Ces apps (toutes disponibles en France) étaient toutes problématiques, sauf celle de GP International. Elles partageaient en effet des informations avec Facebook.

L’application Maya // Source : Maya

Le partage était effectué via SDK, une série d’outils logiciels mis à disposition par Facebook pour développer une application. Elle permet notamment de recevoir des données sur la fréquentation de son produit ou de monétiser ses audiences, à travers le programme Facebook Audience Network. Si l’utilisateur y consent, Facebook peut utiliser les données fournies à travers le SDK « pour lui proposer des publicités mieux ciblées », a précisé la firme dans un email.

Facebook reçoit ainsi des données venant de nombreux sites, y compris de personnes qui n’utilisent pas ses services. Si un site contient un bouton « like » par exemple ou permet de se connecter via son compte Facebook, le réseau social reçoit automatiquement des données depuis ce site.

Chaque connexion renseignée à Facebook

D’après les analyses de Privacy International, Maya informait Facebook à chaque fois que l’un de ses utilisateurs ouvrait son application. Comme le souligne l’ONG, cela donne déjà en soi « beaucoup d’informations » au géant. Il peut en déduire que l’utilisateur en question est une femme, car c’est le cas de la grande majorité des personnes qui ont une application de suivi de menstruations, et qu’elles ont sûrement leurs règles et / ou tentent de tomber enceintes.

Les données étaient partagées avec Facebook. // Source : Montage Numerama

Le problème est un manque de transparence : Maya demande à ses utilisatrices de consentir au partage via l’acceptation de ses conditions d’utilisation, mais envoie des données à Facebook avant même qu’elles ne puissent accepter ceci. My Period Tracker de Linchpin Health (1 million de téléchargements), Mi Calendario de Grupo Familia (1 million) et Ovulation calculator de Pinkbird (500 000) pratiquaient la même chose en informant Facebook à chaque ouverture de l’application.

Mi Calendario fonctionnait avec une vieille version du SDK de Facebook, qui présente des problèmes de sécurité.

Des données très personnelles partagées

Maya allait encore plus loin. Selon Privacy International, l’app a aussi partagé des informations confidentielles sur l’utilisation d’une contraception, l’humeur des utilisateurs, quand elles ont eu des rapports sexuels ou encore le contenu de la section « notes », qui permet entre autres d’ajouter des symptômes non répertoriés. En somme, quasiment tout.

Maya a indiqué qu’ils ne partageaient que des informations anonymes et considérées comme non médicales avec Facebook, à des fins de ciblage publicitaire.

Facebook a aussi accès aux noms des articles que l’app MIA Fem partage à ses utilisateurs. Ceci pose problème, car les articles sont ciblés selon les intérêts potentiels de l’utilisatrice : si elle a eu mal au ventre, un article sur le sujet lui sera proposé. De manière indirecte, Facebook sait donc quels soucis de santé peuvent rencontrer les personnes réglées.

Les notifications étaient également partagées avec Facebook, qui était mis au courant lorsqu’une utilisatrice devait prendre sa pilule contraceptive.

L’application Mia Fem. // Source : Mia Fem

Facebook a assuré à Buzzfeed que la firme enquêterait sur les conditions d’utilisation qui auraient été enfreintes : celles-ci interdisent le fait d’utiliser certains types de données.

Un porte-parole a précisé à Numerama : « Nos conditions d’utilisation n’autorisent pas les développeurs à nous envoyer des données médicales sensibles et nous prenons des mesures lorsque nous apprenons qu’ils ont contrevenu à ceci. »

Les données ne sont pas toujours bien protégées

Jointes par Privacy International, les équipes de Maya (5 millions de téléchargements sur Google Play) ont fait savoir qu’elles comprenaient les craintes de l’ONG. L’entreprise a indiqué qu’elle cessait désormais d’utiliser certaines fonctionnalités de Facebook ou d’autres outils d’analyse des données. La version 3.6.7.7 de l’application (disponible depuis une semaine) a corrigé ce problème. En revanche, la firme a reconnu : « Nous continuons d’utiliser le SDK de Facebook concernant la publicité ciblée ». Les utilisateurs peuvent aujourd’hui choisir de partager leurs données, ou non.

MIA Fem ne voulait pas que sa réponse soit publiée et a menacé Privacy International de poursuites en justice, rapporte Buzzfeed. La firme a ensuite annoncé qu’elle avait réglé le problème en mettant fin au partage avec Facebook.

La sécurité des données personnelles sur les applications de suivi de règles a déjà posé question par le passé. Le Monde publiait en 2017 une enquête sur le sujet. Elle montrait que les données n’étaient pas toujours bien sécurisées ou chiffrées par les entreprises à l’époque.

Après plusieurs révélations de ce type, des applications ont durci leurs conditions d’utilisation. Elles sont devenues particulièrement prudentes, même si elles continuent bien souvent à fournir des données à des fins de recherche médicale, si les utilisateurs donnent leur accord pour un tel traitement.

Les données contenues dans ces applications sont une vraie mine d’or pour les publicitaires. Connaître l’humeur des utilisateurs, par exemple, permet de cibler des publicités en fonction. Si on connaît les changements d’humeur en fonction de la phase d’un cycle menstruel, on peut savoir à quelle période du mois il vaut mieux proposer tel ou tel produit ou service…

Les applications devront se méfier si elles veulent continuer à fidéliser leur clientèle. La concurrence va en effet se renforcer dans les prochains jours, avec la sortie d’iOS 13. Après des années à ignorer le sujet des règles, Apple va intégrer une fonctionnalité de suivi de ses menstruations à son application Santé.

Partager sur les réseaux sociaux